Gelekte EU privacywet heeft grote gevolgen voor marketing
Deze week ‘lekte’ de concepttekst van de nieuwe Europese privacywet uit. De veranderingen die het Europese ministerie van justitie (DG Justice) voorstelt, zijn ingrijpend. Ook voor direct marketing. Eurocommissaris Reding zei het al eerder, zij wil controle en keuze garanderen voor consumenten.
Alle marketing wordt opt-in
Na een eerste lezing van het lijvige document is duidelijk wat ze bedoelt: alle marketing wordt opt-in. Als het concept in de huidige vorm wordt aangenomen, moet straks expliciete toestemming gevraagd worden voor telemarketing en direct mail. Ook Online (Behavioral) Advertising valt onder het regime. Want volgens de nieuwe definities vallen cookies, ip-adressen en geodata gewoon onder de privacywetgeving. Voor de private sector zijn de regels vervat in een verordening. Dat betekent dat lidstaten ze niet naar eigen inzicht mogen implementeren, ze moeten zich aan de exacte tekst houden.
Expliciete toestemming voor direct marketing
Het nieuwe artikel 5.2 van de concepttekst zegt dat persoonsgegevens voor commerciële marketingdoeleinden alleen verwerkt mogen worden met expliciete toestemming. Dit betekent dus een opt-in voor telemarketing, direct mail en online. De uitzondering is direct marketing door non-profit organisaties. Goede doelen, politieke partijen, stichtingen en verenigingen mogen nog wel bellen en geadresseerde post versturen zonder toestemming. Het wordt niet duidelijk of dit alleen geldt voor ‘ ideële boodschappen’ of ook voor fondsenwervende proposities. Nieuw is ook dat men zegt dat toestemming altijd expliciet moet zijn. Volgens de toelichting houdt dit in dat iemand eerst een bevestigende handeling moet doen, zoals een hokje aanvinken. Als er klachten komen moeten organisaties aantonen dat zij daadwerkelijk op deze manier toestemming hebben gekregen.
Online behavioral advertising
Het staat als een paal boven water: de nieuwe regels gelden ook voor online behavioral advertising. Door een verandering in de definities zijn persoonsgegevens straks alle data die direct of indirect herleidbaar zijn tot een individu. Device identifiers als cookies, ip-adressen en geodata vallen hier dus ook onder. Als deze worden ingezet voor marketing, zal dus expliciete toestemming moeten worden gevraagd.
Ook Google en Facebook moeten eraan geloven
Ook bedrijven uit de VS, zoals Google, Facebook en Twitter zijn niet veilig voor de nieuwe regels. Eurocommissaris Reding wil hen kunnen aanpakken als zij de privacy schenden. “God forgives and forgets, but the internet never does”, aldus Reding. Daarom zal de nieuwe regelgeving niet alleen gelden voor bedrijven in Europa, maar ook voor bedrijven die zich richten op Europese burgers. De nieuwe wet zegt bovendien dat bedrijven een gezamenlijke verantwoordelijkheid hebben. Dus als een uitgever een Facebook-app lanceert, kan hij wellicht mede verantwoordelijk zijn voor eventuele privacyschendingen.
Het recht om vergeten te worden
Het idee is sympathiek: als je op je 18e dronken in de kroonluchter hangt, moet dit niet ineens in je nadeel spreken als je op je 25e solliciteert. Volgens de concepttekst moet een organisatie dan ook gegevens wissen als iemand hierom vraagt. Tenzij het uiteraard noodzakelijk is dat deze gegevens wel bewaard worden, bijvoorbeeld omdat iemand een contract heeft met een bedrijf. Voor sociale media is dit een extra lastige verplichting. Zij moeten het verwijderen van openbaar gepubliceerde data garanderen: ‘… ensure the erasure of any public Internet link to, copy of, or replication of the personal data relating to the data subject in any publicly available communication service which allows or facilitates the search of or acces tot his personal data’. De vraag is wat voor gevolgen dit heeft voor bijvoorbeeld search.
Profileren
De tekst besteedt ook aandacht aan profileren. De bewoording is niet heel duidelijk: Als profileren juridische consequenties heeft voor degene die geprofileerd wordt, kan hij zich hiertegen verzetten (= opt-out). Zou prijsdifferentiatie zoals studenten of 65+ korting, loyaltyprogramma’s of behavioral advertising zo’n consequentie zijn?
Timing
De verordening is een eerste conceptvoorstel van het Europese Ministerie van Justitie (DG Justice) en ligt nu bij de andere DG’s die tot volgende week input kunnen leveren. Na aanpassing zal een tweede versie nog door het Europees Parlement en de Europese Raad moeten en zal het waarschijnlijk op zijn vroegst 2015 zijn dat de regels gaan gelden. Omdat het een verordening is, hoeft de wet niet zoals bijvoorbeeld de ‘cookiewet’ op nationaal niveau geïmplementeerd te worden. Er geldt een set regels voor heel Europa. Een nieuwe ronde betekent ook nieuwe kansen. De belangenorganisaties voor consumenten en bedrijven richten na DG Justice, hun pijlen nu op de andere DG’s, het Europees Parlement en de Raad met het doel hun zorgpunten over te nemen en aan te passen.